Phishing ou escroquerie à l'hameçon électronique

PhishingLes Québécois parlent d’hameçonnage. Le terme anglo-saxon "phishing" est cependant plus répandu. Il s’agit de l’envoi d’un e-mail faussement envoyé par une institution financière ou un site commercial connu et qui, sous divers prétextes, vous demande de mettre à jour vos coordonnées bancaires ou personnelles en cliquant sur un lien pointant vers un faux site web.


Autrement dit, les escrocs usurpent une identité (spoofing) pour envoyer un mail qui donne toute les apparences d’authenticité puisque respectant la charte graphique (logo, graphisme, style) du prétendu émetteur à savoir une institution de type eBay, Visa, US Bank, Citibank, PayPal... ou une certaine Citizens Bank.

Phishing avec faux mail d'ebayLe lien sur lequel on vous demande de cliquer mène tout droit à un site quasi conforme à celui de l’institution concernée si ce n’est qu’il n’a pour seul but que de recueillir vos données et notamment votre numéro de carte de crédit. Les "phishers" peuvent ensuite se connecter au compte bancaire des victimes pour effectuer des virements vers des comptes offshore.

Le prétexte évoqué dans le mail est une raison de type panne du système informatique, nouvelle législation, modification des conditions d’utilisation, actualisation des fichiers, augmentation du niveau de sécurité,...

Phishing

Cette escroquerie par le biais d’une usurpation d’interface a été baptisée "phishing", un terme né de la contraction des mots "phreaking" (piratage téléphonique) et "fishing" (pêche).

Phishing avec faux mail de CitiEvidemment, ces pêcheurs d’un nouveau genre jettent leurs lignes à l’aveugle. Les poissons qui risquent de mordre à l’hameçon sont ceux qui, pour une raison ou une autre, traitent avec ces grands sites bancaires ou de commerce. Ceci limite en partie le risque puisqu’il n’y a pas de raison particulière pour qu’un de nos compatriotes réponde par exemple à un mail de BestBuy.com ou de la Bank of America. Il faut cependant espérer que ces "pêcheurs" n’usurperont pas prochainement les identités d’institutions qui nous sont plus familières. Au Royaume-Uni, les escrocs se sont déjà fait passer pour des institutions familières aux Britanniques comme Barclays, NatWest ou Lloyds TSB.

Une escroquerie lucrative

L’escroquerie peut être rentable puisque, selon McAfee Research, les taux de transformation des attaques de type phishing sont compris entre 1 et 20%... alors que l’attaque peut porter sur plus d’un million de destinataires !

Selon la société américaine MessageLabs Inc., le mail de mails de type phising a augmenté de 1200 % entre septembre 2003 et mars 2004. Une étude du cabinet américain Gartner, publiée en juin 2004 et réalisée auprès de 5.000 internautes, évalue le nombre d’Américains ayant reçu un e-mail de type phishing à 57 millions. Près de 2 millions d’entre eux en auraient été victimes pour un coût total de 2,4 milliards de dollars... soit une moyenne de 1.200 dollars par victime.

Pour éviter l’arnaque, il ne faut jamais livrer ses données confidentielles à partir d’un e-mail (mais seulement à partir du site officiel de l’organisme concerné), s’assurer que le site est sécurisé et installer un logiciel de sécurité sur l’ordinateur.

La pratique du phishing est une menace pour les consommateurs. Elle l’est également pour l’e-commerce et les e-commerçants qui voient leur crédibilité menacée alors qu’ils font d’importants efforts en matière de sécurisation des transactions.

Philippe Allard

        

Partager





© Vivat.be 2014

Contact | Qui sommes nous?